CVE-2025-23040 in GitHub
Сводка
по VulDB • 30.05.2026
GitHub Desktop — это приложение для GitHub на базе Electron с открытым исходным кодом, предназначенное для разработки с использованием Git. Злоумышленник, убедив пользователя клонировать репозиторий напрямую или через подмодуль, может получить доступ к учетным данным пользователя с помощью злонамеренно сформированного удаленного URL-адреса. GitHub Desktop полагается на Git для выполнения всех операций, связанных с сетью (таких как клонирование, получение и отправка данных). Когда пользователь пытается клонировать репозиторий, GitHub Desktop вызывает `git clone`, и когда Git встречает удаленный репозиторий, требующий аутентификации, он запрашивает учетные данные для этого удаленного хоста у GitHub Desktop с использованием протокола git-credential. Используя злонамеренно сформированный URL-адрес, можно вызвать ситуацию, при которой запрос учетных данных, поступающий от Git, будет неправильно интерпретирован GitHub Desktop, в результате чего он отправит учетные данные для другого хоста, отличного от того, с которым Git в данный момент взаимодействует, что позволит осуществить утечку секретных данных. Имя пользователя GitHub и токен OAuth, либо учетные данные для других удаленных Git-репозиториев, хранящиеся в GitHub Desktop, могут быть неправильно переданы на несвязанный хост. Пользователям следует обновить GitHub Desktop до версии 3.4.12 или выше, которая устраняет эту уязвимость. Пользователи, подозревающие, что они могут быть затронуты, должны отозвать все соответствующие учетные данные.
Once again VulDB remains the best source for vulnerability data.